中文
當前,數據已成為新的生產(chǎn)要素推動(dòng)著(zhù)整個(gè)社會(huì )的進(jìn)步,隨著(zhù)數字政府建設的持續推進(jìn),大量政務(wù)數據匯集、流通、發(fā)揮價(jià)值的同時(shí)也潛藏著(zhù)安全風(fēng)險,如何精準識別基于數據自身的風(fēng)險,確保數據安全高效流動(dòng),成為了數字政府數據安全治理與防護的前提條件。
國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數字中國發(fā)展報告(2022年)》中指出,2023年需要繼續夯實(shí)數字中國建設基礎,暢通數據資源大循環(huán),健全國家數據管理體制機制,加快構建數據基礎制度體系,推動(dòng)公共數據匯聚利用,釋放商業(yè)數據價(jià)值潛能。福建某廳級單位認真落實(shí)網(wǎng)信辦對于2023年數字中國建設的要求,積極主動(dòng)開(kāi)展數據安全風(fēng)險評估工作,及時(shí)發(fā)現本單位數據安全隱患,防范數據安全風(fēng)險。
昂楷科技收到該廳級單位數據安全風(fēng)險自查的需求,設定數據安全管理、數據處理活動(dòng)、數據安全技術(shù)、個(gè)人信息保護等若干關(guān)鍵指標,為該廳級單位進(jìn)行為期10天的“號脈診斷”,并根據自查結果提交數據安全風(fēng)險自查報告。
此次數據安全“體檢”行動(dòng)主要通過(guò)現場(chǎng)訪(fǎng)談、問(wèn)卷調查、數據安全檢查工具箱掃描等方式,從組織建設、人員能力、制度流程、工具技術(shù)四個(gè)維度進(jìn)行檢查,完成數據安全“體檢”共計221項內容。
準備階段:確認評估對象、整理調研所需文檔材料,成立數據安全風(fēng)險自查評估小組; 實(shí)施階段:依據《評估指引》從組織、制度、技術(shù)等方面進(jìn)行訪(fǎng)談、調研,利用數據安全檢查工具箱對核心業(yè)務(wù)系統開(kāi)展資產(chǎn)梳理、分類(lèi)分級梳理和漏洞掃描,助力該單位建立數據資產(chǎn)臺賬、分類(lèi)分級臺賬,及時(shí)對漏洞進(jìn)行發(fā)現和整改; 確認階段:與風(fēng)險自查評估小組確認評估項評估情況; 報告階段:結合評估情況依據風(fēng)險評估自查要求形成“體檢”報告,并進(jìn)行多輪內部評審; 匯報階段:根據數據安全“體檢”報告與風(fēng)險自查評估小組進(jìn)行匯報。
根據檢查,我們發(fā)現該單位存在以下安全風(fēng)險問(wèn)題:
1、制度缺失:通過(guò)對數據安全制度進(jìn)行核對,發(fā)現該單位在數據安全管理規范、數據安全風(fēng)險評估辦法、數據安全總體管理方針與策略等制度流程上存在缺失,沒(méi)有一套完善的數據安全制度流程用以指導數據全生命周期的重點(diǎn)防護工作;
3、權限管理強度不夠:未加強數據訪(fǎng)問(wèn)權限管理;未建立合理的賬號操作審批及操作流程,規范重大數據操作行為;也沒(méi)有通過(guò)技術(shù)手段對未經(jīng)允許的操作行為進(jìn)行審計及阻斷;
根據以上問(wèn)題,昂楷提出了以下建議:
1、建議結合該單位自身使用場(chǎng)景,健全數據安全管理制度體系,包括但不限于數據分類(lèi)分級、數據訪(fǎng)問(wèn)權限管理、數據安全人員管理、數據合作方管理、數據安全應急響應、數據安全風(fēng)險評估、數據安全教育培訓等,涵蓋數據生命周期安全管理; 3、加強數據訪(fǎng)問(wèn)權限管理,建立合理的賬號操作審批及操作流程,規范重大數據操作行為,明確審批授權和操作監督機制,通過(guò)制度加技術(shù)手段對未經(jīng)允許的操作行為進(jìn)行審計及阻斷; 4、部署相對應的數據安全產(chǎn)品,加強數據安全技術(shù)人才的培養和技術(shù)能力的提升培訓,確保全數據形態(tài)、全生命周期、全流通環(huán)節的數據安全;
數據安全風(fēng)險評估服務(wù),是結合《評估指引》和法律法規要求開(kāi)展的數據安全摸底服務(wù),針對該單位的特性、需求及安全現狀進(jìn)行檢查,從數據安全組織架構、管理制度、技術(shù)工具及安全風(fēng)險等方面著(zhù)手,全面剖析該廳級單位的安全現狀,結合“癥狀”,提出針對性的建議,對客戶(hù)的數據安全防護而言有著(zhù)極高的價(jià)值。
全面性:從組織架構、管理制度、技術(shù)工具、管理以及數據安全風(fēng)險等維度全面梳理該廳級單位的數據安全現狀,及時(shí)發(fā)現存在的不足;
合規性:對數據安全風(fēng)險自查開(kāi)展評估,掌握單位自身數據安全目前存在的風(fēng)險并及時(shí)整改,既是為提升數據安全風(fēng)險防范做準備,也是滿(mǎn)足上級監管部門(mén)及《數據安全法》等法律的合規要求。
及時(shí)性:主動(dòng)發(fā)現單位自身的安全風(fēng)險,變被動(dòng)安全為主動(dòng)安全,有效發(fā)現系統數據庫新的安全漏洞、配置隱患、分析當前階段存在的安全風(fēng)險,方便及時(shí)預警做出改進(jìn)動(dòng)作;
穩定性:數據是流動(dòng)的,數據安全也是動(dòng)態(tài)的,需要周期性檢查,確保系統的安全、持續、穩定運行。
昂楷科技秉承“讓人們放心享受大數據”的使命,憑借過(guò)硬的專(zhuān)業(yè)實(shí)力,通過(guò)數據安全風(fēng)險自查評估,發(fā)現數據資產(chǎn)存在的安全隱患,并提出“治療”方案,為下一步開(kāi)展數據安全體系建設提供依據,為確立數據安全策略和制定數據安全規劃提供決策建議,為筑牢該單位數據安全屏障提供有力保障。
